EU AI Act Schweiz: Was Schweizer KMU wissen müssen
Der EU AI Act ist die weltweit erste umfassende Regulierung für Künstliche Intelligenz. Er wurde im August 2024 veröffentlicht und tritt schrittweise in Kraft. Obwohl es sich um eine EU-Verordnung handelt, betrifft er auch Schweizer Unternehmen, die KI-Systeme einsetzen, deren Output in der EU genutzt wird.
EU AI Act Schweiz: Was Schweizer KMU wissen müssen
Der EU AI Act ist die weltweit erste umfassende Regulierung für Künstliche Intelligenz. Er wurde im August 2024 veröffentlicht und tritt schrittweise in Kraft. Obwohl es sich um eine EU-Verordnung handelt, betrifft er auch Schweizer Unternehmen, die KI-Systeme einsetzen, deren Output in der EU genutzt wird.
Was ist der EU AI Act?
Der EU AI Act (Verordnung (EU) 2024/1689) ist ein risikobasiertes Regulierungsframework für Künstliche Intelligenz. Er klassifiziert KI-Systeme in vier Risikokategorien und legt je nach Kategorie unterschiedliche Pflichten fest. Für Schweizer KMU mit EU-Bezug ist er relevant, weil er extraterritoriale Wirkung hat: Wer KI-Outputs in der EU nutzt oder KI-Systeme für EU-Kunden betreibt, fällt unter die Regulierung.
Betrifft der EU AI Act Schweizer Unternehmen?
Ja. Der EU AI Act hat extraterritoriale Wirkung (Art. 2). Er gilt für Unternehmen ausserhalb der EU, wenn:
Der Output eines KI-Systems in der EU verwendet wird
KI-Systeme für EU-Kunden bereitgestellt werden
Ki-gestützte Entscheidungen EU-Bürger betreffen
Für Schweizer KMU bedeutet das: Wenn Sie Kunden in der EU haben, mit EU-Partnern zusammenarbeiten oder KI-Tools einsetzen, deren Ergebnisse in der EU landen, müssen Sie den EU AI Act beachten.
Parallel dazu stellt das Schweizer Datenschutzgesetz (DSG) und die Datenschutzverordnung (DSV) eigene Anforderungen an den Umgang mit KI-verarbeiteten Personendaten. Schweizer KMU müssen also beide Regelwerke berücksichtigen.
Für einen Überblick, was KI Governance im KMU umfasst: Was ist KI Governance?
Die vier Risikokategorien des EU AI Act
Unannehmbares Risiko (verboten)
KI-Systeme, die als inakzeptabel eingestuft werden: Social Scoring, manipulative KI, biometrische Echtzeit-Fernidentifizierung in öffentlichen Räumen. Diese Verbote gelten seit Februar 2025.
Hochrisiko (strenge Anforderungen)
KI in kritischen Bereichen: Personalwesen (automatisierte Bewerbungsauswahl), Kreditvergabe, Versicherungsentscheidungen, Bildung, Strafverfolgung. Hier gelten umfassende Dokumentations-, Überwachungs- und Transparenzpflichten.
Begrenztes Risiko (Transparenzpflichten)
KI-Systeme, die mit Menschen interagieren: Chatbots, Deepfakes, KI-generierte Inhalte. Nutzer müssen darüber informiert werden, dass sie mit KI interagieren.
Minimales Risiko (keine spezifischen Pflichten)
KI-Systeme mit geringem Risiko: Spamfilter, KI-gestützte Suchfunktionen, einfache Automatisierungen. Hier empfiehlt der EU AI Act freiwillige Verhaltenskodizes.
Fristen und Zeitplan für Schweizer KMU
Februar 2025
Verbote treten in Kraft
Prüfen, ob verbotene KI-Praktiken vorliegen
August 2025
Pflichten für GPAI-Anbieter
Betrifft Anbieter wie OpenAI, relevant für Nutzungsbedingungen
August 2026
Hauptpflichten greifen
Dokumentation, Risikobewertung, Monitoring für Hochrisiko-KI
August 2027
Volle Durchsetzung
Alle Bestimmungen gelten, Bussen können verhängt werden
Empfehlung für Schweizer KMU
Bis Mitte 2026 sollten Sie mindestens ein KI-Inventar und eine KI-Policy erstellt haben. Ein vollständiges Governance Framework sollte bis Ende 2026 stehen.
Bussen und Sanktionen
Der EU AI Act sieht Bussen in drei Stufen vor.
Für KMU gelten die jeweils niedrigeren Beträge (Art. 99 Abs. 5). Die Bussen richten sich nach dem weltweiten Jahresumsatz des Unternehmens.
Bis 35 Millionen Euro oder 7% des Jahresumsatzes:
Verstösse gegen die Verbote (Art. 5)
Bis 15 Millionen Euro oder 3% des Jahresumsatzes:
Verstösse gegen andere Anforderungen
Bis 7,5 Millionen Euro oder 1,5% des Jahresumsatzes:
Falsche Angaben gegenüber Behörden
Was Schweizer KMU jetzt tun sollten
Schritt 1
KI-Inventar erstellen
Erfassen Sie alle KI-Systeme, die in Ihrem Unternehmen eingesetzt werden. Dazu gehören auch Tools wie ChatGPT, Copilot, Midjourney oder KI-gestützte CRM-Systeme.
Wo überall KI ins Unternehmen gelangt, erklärt dieser Artikel.
Schritt 2
Risikoklassifikation
Ordnen Sie jedes KI-System einer der vier Risikokategorien zu. Besonders relevant: Setzen Sie KI für Personalentscheidungen, Kundenbewertungen oder automatisierte Entscheidungsfindung ein?
Schritt 3
KI-Policy erstellen
Definieren Sie Regeln für den Umgang mit KI in Ihrem Unternehmen. Wer darf welche Tools nutzen? Welche Daten dürfen eingegeben werden? Wie werden Outputs geprüft?
Was eine KI-Policy für KMU enthalten muss, zeigt unser Praxis-Guide.
Schritt 4
Compliance-Lücken schliessen
Basierend auf der Risikobewertung: Dokumentation aufbauen, Monitoring einrichten, Verantwortlichkeiten definieren.
Schritt 5
Mitarbeitende schulen
Art. 4 des EU AI Act verlangt eine angemessene KI-Kompetenz für alle Personen, die KI-Systeme bedienen.
Navigant unterstützt Schweizer KMU beim EU AI Act
Navigant begleitet Schweizer KMU bei der EU AI Act Compliance, von der Standortbestimmung bis zum fertigen Governance Framework. Unser Ansatz ist auf KMU mit 10 bis 100 Mitarbeitenden zugeschnitten: pragmatisch, umsetzbar und mit Erfahrung aus laufenden EU AI Act Projekten bei Grossunternehmen.
unverbindlich · kostenfrei
Wir freuen uns auf Sie!
Oder lesen Sie, wie ein Schweizer IT-Dienstleister mit 25 Mitarbeitenden seine KI-Richtlinien in 3 Wochen erarbeitet hat: Fallbeispiel
Navigant unterstützt Schweizer KMU beim EU AI Act
Navigant begleitet Schweizer KMU bei der EU AI Act Compliance, von der Standortbestimmung bis zum fertigen Governance Framework. Unser Ansatz ist auf KMU mit 10 bis 100 Mitarbeitenden zugeschnitten: pragmatisch, umsetzbar und mit Erfahrung aus laufenden EU AI Act Projekten bei Grossunternehmen.
unverbindlich · kostenfrei
Wir freuen uns auf Sie!
Oder lesen Sie, wie ein Schweizer IT-Dienstleister mit 25 Mitarbeitenden seine KI-Richtlinien in 3 Wochen erarbeitet hat: Fallbeispiel
FAQ
EU AI Act und Schweizer KMU
Gilt der EU AI Act für die Schweiz?
Die Schweiz ist kein EU-Mitglied und hat den EU AI Act nicht übernommen. Aber der EU AI Act hat extraterritoriale Wirkung: Schweizer Unternehmen, deren KI-Outputs in der EU genutzt werden oder die EU-Kunden bedienen, fallen unter die Regulierung. Zudem arbeitet die Schweiz an eigenen KI-Richtlinien, die sich am EU-Rahmen orientieren werden.
Wann muss mein Schweizer KMU compliant sein?
Die ersten Verbote gelten seit Februar 2025. Die Hauptpflichten (Dokumentation, Risikobewertung, Monitoring) greifen ab August 2026. Wir empfehlen, bis Mitte 2026 mindestens ein KI-Inventar und eine Policy zu haben.
Welche KI-Systeme sind im KMU typischerweise betroffen?
Am häufigsten: ChatGPT und andere Large Language Models, Microsoft Copilot, KI-gestützte CRM-Systeme, automatisierte E-Mail-Tools, KI-Bildgeneratoren und branchenspezifische KI-Software. Auch eingebettete KI in bestehenden Tools (z.B. KI-Funktionen in Buchhaltungssoftware) zählt.
Was sind General Purpose AI (GPAI) Systeme?
GPAI-Systeme sind KI-Modelle, die für vielfältige Zwecke eingesetzt werden können, nicht nur für eine spezifische Aufgabe. ChatGPT, Claude, Gemini und Copilot sind GPAI-Systeme. Der EU AI Act legt spezielle Pflichten für Anbieter von GPAI fest (Art. 51-56). Als KMU sind Sie typischerweise Deployer (Nutzer), nicht Anbieter, was die Pflichten reduziert.
Was ist der Unterschied zwischen Deployer und Provider?
Ein Provider (Anbieter) entwickelt oder trainiert ein KI-System (z.B. OpenAI mit ChatGPT). Ein Deployer (Betreiber) setzt ein KI-System ein (z.B. Ihr KMU, das ChatGPT nutzt). Die meisten Schweizer KMU sind Deployer. Deployer-Pflichten umfassen primär Transparenz, Überwachung und Dokumentation (Art. 26).
Brauche ich als KMU einen KI-Beauftragten?
Der EU AI Act verlangt keinen formellen KI-Beauftragten. Aber Sie brauchen eine klare Governance-Struktur mit definierten Verantwortlichkeiten. Im KMU kann das eine Person sein, die neben anderen Aufgaben für KI-Governance zuständig ist.
Was kostet EU AI Act Compliance für ein KMU?
Die Kosten hängen vom Umfang ab. Eine Standortbestimmung (Clarity) kostet typischerweise zwischen CHF 5'000 und CHF 15'000. Ein vollständiges Governance Framework (Control) bewegt sich je nach Komplexität zwischen CHF 20'000 und CHF 50'000. Verglichen mit den möglichen Bussen ist Compliance eine lohnende Investition.